Device Enrollment Program

SPPM 初期設定マニュアル

2

目 次

DEVICE ENROLLMENT PROGRAM とは....................................................................................... 3

DEVICE ENROLLMENT PROGRAM の利点 .................................................................................. 4

キッティング作業を簡易に ..................................................................................................... 4

SPPMによる制御をより強固なものに ................................................................................... 5

初期設定（事前の設定） .............................................................................................................. 6

必要なもの ........................................................................................................................... 6

公開鍵のダウンロード ........................................................................................................... 7

MDMサーバ名の設定・公開鍵のアップロード ....................................................................... 8

サーバトークンをダウンロード ............................................................................................... 9

サーバトークンをアップロード ................................................................................................ 9

端末への DEP 適用 .................................................................................................................. 10

① DEP端末の更新 ...................................................................................................... 10

② ポリシー作成 ........................................................................................................... 10

ポリシー適用 ...................................................................................................................... 14

端末キッティング ................................................................................................................. 17

SPPM Agentをインストール .............................................................................................. 18

サーバトークンの更新 ............................................................................................................... 22

FAQ 24

3

Device Enrollment Program とは Device Enrollment Program（以下、DEP）は、Apple 社の提供する端末導入・設定の支援サービス

です。SPPM と DEP を併せて用いることで、従来必要とされていたキッティングの手間を大幅に削

減し、SPPMによる制御をより強固なものにすることができます。

Apple社の提供する“Apple Business Manager”専用 WEBページ（以下、ABM）および SPPM

管理画面で公開鍵・サーバトークンをダウンロード/アップロードし、SPPM 管理画面からで端末に

反映したい設定を編集していただく必要があります。

*1 DEPを利用するには、Apple社または指定の代理店から購入した、DEP対応の iOS端末が必

要です。

4

Device Enrollment Program の利点

キッティング作業を簡易に

DEPを利用することにより、SPPMのキッティング（初期設定）作業を一括して行うことができます。

従来はユーザの端末 1 台 1 台に対してグループキー登録・ポリシー設定などの作業が必要であ

り、多数の端末をご利用の場合にはキッティング作業に時間がかかっていました。DEPを用いるこ

とで、管理者が一括して、リモートでキッティング作業を行うことが可能になります。

端末側ではアクティベート時に自動的 SPPM が導入されるため、端末ユーザによる作業も必要あ

りません。購入した端末はそのまま端末ユーザに配布できます。

また、SPPM 管理画面から行う DEP 設定により、端末初期設定時に必要とされる各種設定（パス

コード、Apple ID、利用規約、Touch ID、Apple Pay、画面表示の拡大、Siri、診断）のうち、端末ユ

ーザによる設定が不要だと判断される項目についてはスキップするよう設定することができます。

スキップするよう設定すると、ユーザが端末を起動したとき、その項目に関する設定画面は表示さ

れません。

*1 端末ユーザによる初期設定スキップ項目について、詳細はこちらをご確認ください

> 「初期設定 スキップ項目」（P.13）

5

SPPM による制御をより強固なものに

DEP を利用することにより、端末ユーザによる構成プロファイルの削除を禁止し、SPPM による制

御が解除されることを防ぎます。

従来は、端末ユーザによるSPPM構成プロファイルの削除が可能でした。DEPを用いた場合、iOS

によって提供される「監視モード」をリモートで有効に設定することで、端末の構成プロファイル管

理画面に「削除」ボタン自体が表示させないように設定することが可能です。

*1 SPPM以外の構成プロファイルの削除は、通常通り可能です

*2 監視モードについて、詳細はこちらをご確認ください > 「監視モード」（P.11）

6

初期設定（事前の設定）

必要なもの

SPPMで DEP端末をご利用いただくには、以下のものが必要です。

➢ Apple ID/パスワード

・SPPM 管理サーバに iOS 端末（iPhone/iPad）を登録して管理するには、Apple 社が提供す

る IPプッシュシステム APNs（Apple Push Notification）サービスの利用が必須となります。

また、APNs（Apple Push Notification）サービスを利用するためのには、

「iOSプッシュ証明書」を取得し、ご利用のSPPM管理画面に登録を行う必要がございます。

iOSプッシュ証明書の取得および登録の詳細な手順については、

iOSプッシュ証明書新規登録・更新手順書をご確認ください。

➢ DEP登録

・Apple のページから登録してください（登録には端末販売代理店の情報が必要な場合はあ

ります・Resseler IDなど）

➢ DEPに対応した iOS端末

・Apple社もしくは指定の代理店からのみ購入可能です

➢ SPPMアカウント契約

・SPPM へのログイン情報等については、ご契約時に送付しているアカウント開設票をご参照

ください

7

公開鍵のダウンロード

1. SPPM管理画面にアクセスし、 その他 ＞ DEP設定 を開いてください

2. 公開鍵を DL してください

[ 1. 公開鍵ファイル SPPM_DEP_cert.pem をダウンロードしてください。 ]

という記載の、SPPM_DEP_cert.pem をクリックすると公開鍵がダウンロードされます

3. [2. 1でダウンロードした公開鍵ファイルを Apple Business Manager へアップロードしてくださ

い。] と案内にある通り、Apple社の提供する HP “Apple Business Manager” (ABM)にアクセ

スしてください。

8

Apple Business Manager での操作

MDMサーバ名の設定・公開鍵のアップロード

ABM（https://business.apple.com/）にアクセスし、ABM 利用登録を行った Apple ID/パスワードで

サインインしてください。

1. [MDMサーバ] > [新しい MDMサーバを追加]をクリックしてください。

2. [1. MDM サーバ情報]に「SPPM」等わかりやすい名称を入力してください。

3. [ファイルをアップロード]をクリックし、SPPM 管理画面でダウンロードした公開鍵（“パブリック

キー”と呼ばれます）をアップロードしてください。

4. アップロードが完了したら[保存]をクリックしてください。

9

サーバトークンをダウンロード

[トークンを入手する]をクリックし、トークンをダウンロードしてください

※Apple Business Managerからトークンをダウンロードした場合、必ず管理サイトにトークンを

アップロードしてください。このトークンを管理サイトにアップロードしなかった場合、一定時間

経過後に、管理サイトは DEPサーバとの通信ができなくなります。

サーバトークンをアップロード

1. SPPM管理画面にアクセスし、[その他] > [DEP設定]を開いてください

2. [ファイルを選択]から、ABMでダウンロード（保存）したサーバトークンをアップロードします

3. アップロードが完了したら、[上書き保存]をクリックしてください

※ サーバトークンの有効期間は 1年間です。期間を過ぎる前に更新作業が必要です。

更新作業について、詳細はこちらをご確認ください > 「サーバトークンの更新」（P.22）

10

端末への DEP 適用

① DEP 端末の更新

SPPM管理画面にアクセスし、必ず端末一覧画面の「DEP端末更新」をクリックしてください。

DEP登録した端末の「端末 ID」が自動的に登録されます。

② ポリシー作成

[ポリシー管理] ＞ [DEP設定(iOS)] ＞ [新規作成]をクリックし、ポリシーを作成してください。

11

◆DEP設定(iOS)

DEPを利用し SPPMに登録された端末に下記項目が適用されます。

・監視モードにする

DEP端末の監視モードを有効にできます。

SPPMの構成プロファイルの削除を禁止する場合、監視モードを有効にする必要があります。

※監視モードを解除する方法

端末を初期化し、「監視モードにする」のチェックを外した DEP設定ポリシーを端末に設定・反映

してキッティングを開始してください。

・PCへの接続を許可する

端末の iTunesへの接続を制限できます。

・構成プロファイルの削除を許可する （許可しない場合は監視モードにする必要があります）

SPPMの構成プロファイルの削除を禁止することができます。

禁止にするには[監視モード]を有効にする必要があります。

※構成プロファイルの削除を禁止した状態で該当端末のライセンスキーをリセットした場合は、

SPPMの再登録に端末初期化が必須となるためご注意ください。

・構成プロファイルのインストール時にユーザー名・パスワードの認証を行う

構成プロファイルのインストール時に、管理画面で設定したユーザー名とパスワードが必要となり

ます。

12

<ユーザー名・パスワード設定方法>

1. SPPM管理画面の [その他] ＞ [DEP設定(iOS)] ＞ [編集] をクリックします。

1. ユーザー名・パスワードを入力し「上書保存」をクリックします。

2. 設定されたユーザー名・パスワードは [その他] ＞ [DEP設定(iOS)] 画面に表示されます。

13

◆初期設定 スキップ項目

端末初期設定時にスキップする項目を選択できます。

チェックを付けた項目はアクティベート時に設定画面が表示されません。

<設定項目>

・パスコード

・位置情報サービス

・復元

・Apple ID

・利用規約

・Touch ID

・Apple Pay

・画面表示の拡大

・Siri

・診断

・データとプライバシー

14

・iPhoneを常に最新の状態にする

・iMessage と FaceTime

・スクリーンタイム

・外観モード

・ようこそ

・新機能の概要

※ [Apple Pay]は iOS10.1から表示される設定項目です。

※ iOS8.x までは、[Apple Pay]のチェックを外した場合[パスコード][Touch ID]がスキップ不可とな

ります。

※ iOS8.x までは、端末初回キッティング時以外では[位置情報サービス][復元]がスキップされな

い場合があります。

ポリシー適用

[DEP端末更新]で表示された該当端末 IDに DEP設定(iOS)ポリシーを適用します。

※このとき DEP設定(iOS)ポリシー以外のポリシーを保存しても、端末登録後にリセットされます。

<端末 ID毎にポリシーを適用する場合>

1.端末一覧画面で、該当端末 IDの[編集]をクリックします。

15

2. DEP設定(iOS)のプルダウンリストから適用したいポリシーを選択します

3. [上書保存]をクリックします

※この設定は DEP端末登録用の事前設定のため、その他ポリシーは適用できません。

<複数の端末 IDに同一のポリシーを適用する場合>

1. 端末一覧画面で、該当端末 IDの[選択]にチェックを付けます

2. [ポリシー適用]をクリックします

16

3. DEP設定(iOS)のプルダウンリストから適用したいポリシーを選択します

4. [はい]をクリックします

17

端末キッティング

これまでの各設定が完了している状態で DEP端末のキッティング時（アクティベート時）に、

DEP設定(iOS)ポリシーで設定した内容が反映されます。

※端末によってはアクティベートに SIMが必要になる場合があります。

初期設定の最後に構成プロファイルのインストールを行います。

インストールが完了すると SPPMの管理画面に該当端末が登録されます。

18

SPPM Agentをインストール

① 「App Store」を起動してください。 ② 「SPPM」もしくは「SPPM Agent」を

キーワードで検索してください。

③ SPPM Agent をダウンロード・

インストールしてください

④ インストール完了後、「開く」

ボタンをタップすることで

SPPM Agent が開きます

19

⑦ プッシュ通知の利用許可

を求められます。「許可」

をタップしてください。

⑤ 連絡先へのアクセス許可

を求められます。「OK」を

タップしてください。

⑧ グループキー、端末のシリアル番号

を入力し、「登録」をタップしてくださ

い。

※シリアル番号のコピー方法は

次ページをご参照ください

⑨ SPPM管理サーバへの登録

の確認画面が表示されます。

「OK」をタップしてください。

⑥ 位置情報の利用許可

を求められます。「許可」

をタップしてください。

20

【端末シリアル番号のコピー方法】

※iOS バージョンにより、画面の表示が異なる場合があります

⑩ 「端末登録が完了しました」

と表示されましたら、「OK」

をタップしてください。

⑪ 「SPPM Agent」を起動して、

管理サーバ URLが表示される事を確認。

（管理画面でメッセージ機能が対応している事を確認）

① 端末設定の『一般』をタップ ② 『情報』をタップ ③ 『シリアル番号』の項目を長押し

表示される『コピー』をタップし、

手順⑦の画面で貼付けを実行

21

端末の登録完了

SPPM管理サーバと通信が行われ、端末に基本ポリシーが適用され、「SPPM」の構成プロファイ

ルがインストールされ、SPPM 管理画面の「端末一覧」にて端末が登録されていること、SPPM

Agent を起動してサーバ URL が表示されることを確認してください。

※SPPM Agentを起動しないと、JailBrake検知、メッセージ配信、位置情報取得、

電話帳配信機能が利用できません。

※icloud・iTunes バックアップデータから SPPM Agent をインストールすると正常に登録できない

場合があります。その場合は一度アンインストール後に app store から再インストールをしてく

ださい。

22

Apple Business Manager での操作

サーバトークンの更新

1. ABMにサインインし、[MDMサーバ]で表示されたサーバ一覧から該当のサーバを

選択してください

2. 右側のサーバ詳細画面で [トークンを入手する]をクリックします

3. [サーバトークンをダウンロード]をクリックし、サーバトークンをパソコンに保存してください

23

4. SPPM管理画面にアクセスし、その他 ＞ DEP設定 を開いてください

5. [ファイルを選択]から新しく保存したサーバトークンを選択してください

6. サーバトークンをアップロードしたら、[上書き保存]をクリックします

7. ページ上部の表示、サーバトークンの新しい有効期限が表示されます

24

FAQ Q. DEP設定ポリシーはどの端末でも利用できますか？

A. DEPを利用するには、Apple社または指定の代理店から、所定の方法で DEP対応の iOS

端末を購入する必要があります。

Q. ハードリセットによる DEP再キッティングの動作

A. ハードリセット時に”DEP 設定ポリシー”が、該当の端末に適用されているかで動作が変わりま

す。

■DEP設定ポリシー有り

1."DEP設定ポリシー"設定済み

2.ハードリセット指示発令

→初期化後、DEP端末としてキッティング。

Agentインストール時は[DEP対応端末の方はこちら]を選択する。

※通常の DEP端末キッティングと同様の方法でキッティングして下さい。

■DEP設定ポリシー無し

1."DEP設定ポリシー"未設定

2.ハードリセット指示発令

→初期化後、通常端末になる。

3."DEP設定ポリシー"を設定する

4.端末初期化

→初期化後、DEP端末としてキッティング。

Agentインストール時は[DEP対応端末の方はこちら]を選択する。

※通常の DEP端末キッティングと同様の方法でキッティングして下さい。

Q. DEP端末が登録されたライセンスキーを誤ってリセットしてしまった場合、

SPPMに再登録できますか？

A. 再登録できます。

構成プロファイルの削除を許可しているか禁止しているかで、方法が異なります。

構成プロファイルが削除禁止されている場合は端末初期化が必要になるためご注意下さい。

■DEP設定が構成プロファイル削除を許可している場合

1.管理画面の[DEP端末更新]をクリック

※再登録前に[DEP端末更新]をクリックしなかった場合、通常端末として登録され、

25

DEP設定ポリシーを利用できなくなります。

2.ユーザにてアプリ削除・構成プロファイル削除を実施

3.AppStoreから SPPM Agent をインストール

4.SPPM Agentを起動

5.[DEP非対応端末の方はこちら]を選択し、構成プロファイルをインストール

⇒DEP端末として登録されます。

※[DEP対応端末の方はこちら]を選択しないようご注意下さい。

■DEP設定が構成プロファイル削除を禁止している場合

※SPPMへの再登録には端末初期化が必須になります。

※初期化前に DEP設定の準備をすることで初期化後に DEPによるキッティングが可能です。

1.管理画面の[DEP端末更新]をクリック

※再登録前に[DEP端末更新]をクリックしなかった場合、通常端末として登録され、

DEP設定ポリシーを利用できなくなります。

2.端末設定から端末初期化を行う

⇒DEPによるキッティングが行われ、構成プロファイルインストール後に DEP端末として

登録されます。

Q. [構成プロファイルのインストール時にユーザー名・パスワードの認証を行う]

設定の利用シーンは？

A. DEP端末に[構成プロファイルのインストール時にユーザー名・パスワードの認証を行う]設定を

有効にしたポリシーが適用されていることで、端末紛失時に第三者によって端末が

初期化されてもユーザー名・パスワードが認証されない限り端末を利用できない状態にできま

す。

Q. 構成プロファイルの削除を禁止している場合、

SPPM以外の構成プロファイルを削除できますか？

A. 構成プロファイル削除(iOS)ポリシーを利用し、削除することができます。

Q.DEP設定ポリシーを変更しポリシー即時適用を行っても、

端末状態シグナルが黄色のままですが正常に適用されていますか？

A.DEP設定ポリシーは端末情報編集画面で「上書保存」をした時点で設定が完了し、

次回端末アクティベート時に適用される仕様となります。

26

そのため、シグナルが黄色の状態でも正常に適用されています。

端末状態シグナルを緑色に更新したい場合は、他ポリシーを更新・適用をすることで

緑色に更新できます。